Главная Новости Критическая уязвимость OpenSSL: что вам нужно знать

Критическая уязвимость OpenSSL: что вам нужно знать

от Китай Обзор ТВ
193 просмотров
Критическая уязвимость OpenSSL

Нет ничего лучше хорошей уязвимости в системе безопасности, чтобы по-настоящему всколыхнуть Интернет. С провокационными прозвищами (Heartbleed, кто-нибудь?), стильными логотипами и блестящими доменными именами эти супержуки могут доминировать в технических заголовках, и не зря. Риски, которые они создают, могут повлиять на кибербезопасность всех, от отдельных лиц до корпораций.

Но освещение самой последней уязвимости в OpenSSL, о которой стало известно несколько дней назад, немного отличается: пока никто не знает, что это за уязвимость. Было объявлено только о наличии ошибки, и все, что было сказано, это то, что ошибка классифицируется как «критическая» — наихудшая из возможных.

Команда проекта OpenSSL уведомила, что всем следует подготовиться к дальнейшему объявлению 1 ноября, когда будут раскрыты подробности уязвимости (и, надеюсь, исправления).

Такой подход к раннему предупреждению необычен, но он был сформулирован в ответ на то, как в 2014 году была обработана уязвимость OpenSSL Heartbleed. чтобы исправить их системы против него. 

Идея с ошибкой OpenSSL теперь заключается в том, чтобы люди, затронутые проблемой, знали о ситуации и были готовы применить любые исправления сразу после их объявления. Это действительно хорошая вещь.

Наш Блог рекомендует отличный хостинг Webhost1 где можно приобрести VPS/VDS СЕРВЕР для установки своего надежного VPN сервера.

Что мы знаем прямо сейчас?

Итак, на данный момент мы ничего не знаем об уязвимости, кроме двух ключевых фактов:

  • Это влияет только на OpenSSL 3
  • Это критическая уязвимость

Во-первых, это отличные новости, так как, хотя OpenSSL очень широко используется, обычно в производстве находятся версии 1.1.1 или устаревшие версии 1.0.2. Поскольку ни один из этих вариантов не подвержен этой уязвимости, системы и программное обеспечение, использующие их, также не затронуты. Поскольку OpenSSL 3.0 был выпущен только в сентябре 2021 года, любая платформа старше этой вряд ли будет затронута.

Второй момент не очень хорошая новость, но приятно знать. Знание того, что ошибка настолько серьезна, и наличие этой информации в течение недели гарантирует, что люди захотят применить исправление как можно скорее. Это ключ к обеспечению безопасного и надежного Интернета.

 Как же Lightway?

Протокол Lightway VPN использует wolfSSL для всех своих криптографических нужд и вообще не использует OpenSSL. Это означает, что все клиенты и серверы Lightway полностью не затронуты ошибкой OpenSSL. Если вы подключаетесь например к ExpressVPN с помощью Lightway (который используется по умолчанию в приложениях), вы будете защищены wolfSSL.

Как я могу определить, поражен ли я?

Центр SANS Internet Storm Center ведет список затронутых операционных систем. Ссылка также содержит информацию о том, как вы можете протестировать свою платформу, чтобы узнать, какая версия OpenSSL используется. Если вы обнаружите какую-либо новую информацию, мы настоятельно рекомендуем связаться с организацией, чтобы они могли добавить ее на свой сайт для всех.

Что мне теперь делать?

Все, что осталось сделать сейчас, это определить, есть ли у вас какие-либо уязвимые машины, чтобы вы могли легко обновить их, когда 1 ноября будет объявлено об этом. После выпуска исправлений обязательно установите их немедленно.

Однако до тех пор любые слухи или предположения, которые вы можете услышать об уязвимости, — это просто так. Лучше дождаться официального объявления, прежде чем принимать какие-либо серьезные решения.

Вам также может понравиться

ОСТАВИТЬ СВОЙ КОММЕНТАРИЙ

Этот веб-сайт использует файлы cookie для улучшения вашего опыта. Мы будем считать, что вы согласны с этим, но вы можете отказаться, если хотите. Принимать Подробнее

Конфиденциальность и cookies